El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos. No llevar a cabo actividades de documentación con relación a las actividades de responsabilidad activa desarrolladas, o no documentar adecuada y motivadamente las decisiones del responsable, impedirá a este demostrar el cumplimiento de sus obligaciones y podría dar lugar al inicio de un procedimiento de infracción por la Autoridad de Control
La Guía de la Gestión del riesgo y evaluación de impacto en tratamiento de datos personales
La Agencia Española de Protección de Datos (AEPD) ha publicado la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, El objetivo de la guía es incorporar las lecciones aprendidas en la aplicación de la gestión del riesgo en el ámbito de la protección de datos, y los nuevos criterios e interpretaciones, tanto de la AEPD como del Comité Europeo de Protección de Datos (CEPD) y del Supervisor Europeo de Protección de Datos (SEPD). El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.
La guía es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.
La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.
El concepto de riesgo, su gestión y tratamiento
Las normas ISO definen el concepto de “riesgo” como el “efecto de la incertidumbre sobre la consecución de objetivos” entendiendo como tal efecto cualquier desviación positiva o negativa sobre lo previsto inicialmente, teniendo en cuenta que los objetivos pueden ser de distinto tipo según el ámbito de actividad de una organización. La norma ISO 3100034 manifiesta que la gestión del riesgo ha de estar integrada con el resto de los procesos de la entidad, en particular en la política, planificación y revisión del tratamiento, para que sea relevante, eficaz y eficiente.
El RGPD demanda la identificación, evaluación y mitigación, realizadas de una forma objetiva, del riesgo para los derechos y libertades de las personas en los tratamientos de datos personales. La mitigación ha de realizarse mediante la adopción de medidas técnicas y organizativas que garanticen y, además, permitan demostrarla protección de dichos derechos. Estás deberán determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento.. Además, dichas medidas se revisarán y actualizarán cuando sea necesario.
La gestión de riesgo está formada por un conjunto de acciones ordenadas y sistematizadas con el propósito de controlar las posibles (probabilidad) consecuencias (impactos) que una actividad puede tener sobre un conjunto de bienes o elementos (activos) que han de ser protegidos. la gestión del riesgo debe de entenderse como una metodología general que integra distintos objetivos según las perspectivas
Dentro de esta perspectiva de gestión del riesgo se deberá por tanto analizar el contexto de la protección de datos en las diversas relaciones laborales, incluyendo la cesión de datos. Recientemente la AEPD ha publicado La Guía de Protección de Datos en las Relaciones laborales
Para llevar a cabo una correcta gestión del riesgo es necesario, en primer lugar, identificar y caracterizar de forma precisa los fines del tratamiento. Los fines del tratamiento, así como su legitimación, ya han de estar fijados antes de iniciar la gestión del riesgo. Esta determinación es una tarea previa que será necesario que esté expuesta en este punto del análisis, y detallando cómo el responsable se ha asegurado de la correcta identificación de los mismos.
Todo tratamiento se implementará sobre un sistema de información, que será en parte automatizado y en parte manual. Además del riesgo que,para los derechos y libertades, puede suponer en sí mismo la existencia de dicho tratamiento, es obligatorio determinar también el riesgo que para esos mismos derechos y libertades puede suponer el que se materialice una brecha de datos personales, es decir, un tratamiento no autorizado o accidental sobre los datos
La evaluación del impacto en materia de Protección de Datos (EIPD)
El RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.
El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.
El RGPD no obliga a que para cualquier tratamiento de datos personales sea necesario realizar una EIPD, pero sí establece que es obligatorio que se realice cuando hay una probabilidad de que entrañe un alto riesgo. Las características que incorpora la EIPD con relación a la gestión general del riesgo para los derechos y libertades son:
- Es exigible cuando hay un alto riesgo para los derechos y libertades.
- Es una obligación específica del responsable.
- Exige un análisis de la necesidad y proporcionalidad del tratamiento con relación a sus fines.
- Exige su realización antes del inicio de las actividades de tratamiento
- Exige el asesoramiento del DPD si este está nombrado
- Requiere recabar la opinión de los interesados, o sus representantes, cuando proceda, en el proceso de gestión del riesgo, justificando en su caso la no procedencia o la limitación en la comunicación de información.
- Tendrá en cuenta el cumplimiento de los códigos de conducta aprobados, a que se refiere el artículo 40, a los que se hubiera adherido el responsable.
- Tendrá en cuenta los requisitos de las certificaciones que fueran aplicables al tratamiento en el ámbito de la organización responsable.
- Su resultado se debe tener en cuenta para evaluarla viabilidad o inviabilidad del tratamiento desde el punto de vista de protección de datos.
La AEPD ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.